本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 關於註冊現有帳戶
當您將 AWS Control Tower *註冊*到已受 AWS Control Tower 管理的組織單位 (OU) AWS 帳戶 時,您可以將 AWS Control Tower 管控擴展到現有的個人。合格帳戶存在於與 AWS Control Tower *OUs 屬於相同 AWS Organizations 組織的未註冊* OU 中。
有數種方法可將帳戶註冊到 AWS Control Tower。**此頁面上的資訊適用於所有註冊方法。**
**注意**
除非在初始登陸區域設定期間,否則您無法註冊現有 AWS 帳戶做為稽核或日誌封存帳戶。
## 帳戶註冊期間會發生什麼情況
在註冊過程中,AWS Control Tower 會執行下列動作:
+ 確立帳戶的基準,其中包括部署這些堆疊集:
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
檢閱這些堆疊集的範本,並確定它們與您現有的政策沒有衝突是個不錯的主意。
+ 透過 AWS IAM Identity Center 或 識別帳戶 AWS Organizations。
+ 將帳戶放入您指定的 OU 中。請務必套用目前 OU 中套用的所有 SCP,使您的安全狀態能夠保持一致。
+ 透過套用至整個所選 OU SCPs,將強制性控制項套用至帳戶。
+ 啟用 AWS Config 並設定它來記錄帳戶中的所有資源。
+ 新增將 AWS Control Tower 偵測控制項套用至帳戶的 AWS Config 規則。
**帳戶和組織層級 CloudTrail 追蹤**
對於登陸區域 3.1 版及更高版本,如果您已在登陸區域設定中選擇選用 AWS CloudTrail 整合:
OU 中的所有成員帳戶都受 OU 的 AWS CloudTrail 線索管理,無論是否已註冊。
當您在 AWS Control Tower 中註冊帳戶時,您的帳戶會受到新組織的 AWS CloudTrail 追蹤管理。如果您有現有的 CloudTrail 追蹤部署,除非您在 AWS Control Tower 中註冊帳戶之前刪除該帳戶的現有追蹤,否則可能會看到重複費用。
如果您將帳戶移至已註冊的 OU,例如透過 AWS Organizations 主控台或 APIs,您可能想要移除帳戶的任何剩餘帳戶層級追蹤。如果您有現有的 CloudTrail 追蹤部署,則會產生重複的 CloudTrail 費用。
如果您更新登陸區域並選擇不接收組織層級追蹤,或您的登陸區域比 3.0 版舊,則組織層級 CloudTrail 追蹤不適用於您的帳戶。
## 使用 VPCs 註冊現有帳戶
當您在 Account Factory 中佈建新帳戶時,AWS Control Tower 處理 VPCs 的方式與註冊現有帳戶時不同。
+ 當您建立新帳戶時,AWS Control Tower 會自動移除 AWS 預設 VPC,並為該帳戶建立新的 VPC。
+ 當您註冊現有帳戶時,AWS Control Tower 不會為該帳戶建立新的 VPC。
+ 當您註冊現有帳戶時,AWS Control Tower 不會移除與該帳戶相關聯的任何現有 VPC 或 AWS 預設 VPC。
**提示**
您可以設定 Account Factory 來變更新帳戶的預設行為,因此預設不會在 AWS Control Tower 下為組織中的帳戶設定 VPC。如需詳細資訊,請參閱[在 AWS Control Tower 中建立沒有 VPC 的帳戶](configure-without-vpc.md#create-without-vpc)。
## 使用 AWS Config 資源註冊帳戶
要註冊的帳戶不得有現有 AWS Config 資源。請參閱[註冊具有現有 AWS Config 資源的帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)。
以下是一些範例 AWS Config CLI 命令,您可以用來判斷現有帳戶 AWS Config 資源的狀態,例如組態記錄器和交付管道。
**檢視命令:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
正常回應類似 `"name": "default"`
**刪除命令:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
# 註冊的先決條件
*本節說明如何在登陸區域**設定**頁面上未選取選用的自動註冊功能,或是您使用 3.1 之前的登陸區域版本操作時,在 AWS Control Tower 中註冊現有 AWS 帳戶。*
在您可以註冊 AWS Control Tower AWS 帳戶 中現有的 之前,需要這些先決條件:
**注意**
如果您已在登陸區域**設定**頁面中啟用 AWS Control Tower 自動註冊功能,或者您正在註冊帳戶作為**註冊 OU** 程序的一部分,則不需要新增`AWSControlTowerExecution`角色的先決條件。不過,在所有情況下,要註冊的帳戶可能沒有現有的 AWS Config 資源。請參閱[註冊具有現有 AWS Config 資源的帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)
1. 若要註冊現有的 AWS 帳戶,`AWSControlTowerExecution`角色必須存在於您要註冊的帳戶中。您可以檢閱[註冊帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html)以取得詳細資訊和指示。
1. 除了 `AWSControlTowerExecution`角色之外, AWS 帳戶 您要註冊的現有 必須具有下列許可和信任關係。否則,註冊將會失敗。
角色許可: `AdministratorAccess` (AWS 受管政策)
**角色信任關係:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 我們建議帳戶不應有 AWS Config 組態記錄器或交付管道。您可以透過 AWS CLI 刪除或修改這些項目,然後才能註冊 帳戶。否則,請檢閱[註冊具有現有 AWS Config 資源的帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html),以取得如何修改現有資源的指示。
1. 您要註冊的帳戶必須存在於與 AWS Control Tower 管理帳戶相同的 AWS Organizations 組織中。已存在的帳戶只能在已**向 AWS Control Tower 註冊的 OU 中,註冊到與 AWS Control Tower 管理帳戶相同的組織。
若要檢查其他註冊先決條件,請參閱 [AWS Control Tower 入門](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html)。
**注意**
當您向 AWS Control Tower 註冊帳戶時,您的帳戶會受 AWS CloudTrail AWS Control Tower 組織的追蹤所管理。如果您有現有的 CloudTrail 追蹤部署,除非您在 AWS Control Tower 中註冊帳戶之前刪除該帳戶的現有追蹤,否則可能會看到重複費用。
**關於使用 `AWSControTowerExecution`角色的受信任存取**
在將現有的 註冊 AWS 帳戶 到 AWS Control Tower 之前,您必須授予 AWS Control Tower 管理或*控管*帳戶的許可。具體而言,AWS Control Tower 需要許可,才能 AWS Organizations 代表您在 AWS CloudFormation 和 之間建立受信任的存取,以便 CloudFormation 可以自動將堆疊部署到所選組織中的帳戶。透過此受信任的存取,`AWSControlTowerExecution`角色會執行管理每個帳戶所需的活動。因此,您必須先將此角色新增至每個帳戶,才能註冊。
啟用受信任存取時, CloudFormation 可以透過 AWS 區域 單一操作跨多個帳戶建立、更新或刪除堆疊。AWS Control Tower 依賴此信任功能,因此在將角色和許可移至已註冊的組織單位之前,可以先將角色和許可套用至現有帳戶,進而使其受到控管。
若要進一步了解受信任存取和 AWS CloudFormation StackSets,請參閱 [AWS CloudFormationStackSets和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) 。
# 使用自動註冊來移動和註冊帳戶
帳戶自動註冊功能適用於 3.1 版及更高版本的登陸區域。
如果您選擇性地啟用此功能,您可以使用 AWS Organizations APIs和主控台將帳戶移至 AWS Control Tower,而無需建立[https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)。帳戶會自動從 AWS Control Tower 中的目的地組織單位 (OU) 接收基準資源和控制組態。如果兩個 OUs 具有相同的基準組態並啟用相同的控制項,則此選用功能也可讓您在 AWS Control Tower 內的 OUs 之間移動帳戶,而無需建立繼承偏離。
**若要啟用自動註冊:**您可以在 AWS Control Tower 主控台的登陸區域**設定**頁面上選取帳戶自動註冊,或呼叫 AWS Control Tower `CreateLandingZone`或 `UpdateLandingZone` APIs,並將 `RemediationType` 參數的值設定為**繼承偏離**。
**若要套用自動註冊:**在**設定**頁面中選取此選項後,您可以透過 AWS Organizations 主控台、 API AWS Organizations `MoveAccount`或 AWS Control Tower 主控台來移動帳戶。
**若要使用自動註冊取消註冊帳戶:**如果您將帳戶移出已註冊的 OU,AWS Control Tower 會自動移除所有部署的基準資源和控制項。
**注意**
如果 AWS Control Tower 中的來源和目的地 OUs [已移動的成員帳戶](governance-drift.md#drift-account-moved) 具有不同的組態,帳戶可能會顯示偏離。
## 先決條件:設定 進行自動註冊
+ 您必須執行 AWS Control Tower 登陸區域 3.1 版或更新版本。
+ 透過主控台中的登陸區域**設定**頁面或透過 AWS Control Tower 登陸區域 APIs,將 `RemediationTypes` 參數的值設定為 ,選擇加入 AWS Control Tower 自動註冊功能`Inheritance Drift`。當您選擇加入時,AWS Control Tower 會針對 `move account`的事件做出反應 AWS Organizations,並代表您立即修復已移動帳戶的繼承偏離。
## 所需的許可
您需要特定角色和許可才能使用 `CreateAccount` API AWS Organizations 和 `MoveAccount` API。如需 AWS Organizations 搭配 AWS Control Tower 使用 的詳細資訊,請參閱 [AWS Control Tower 和 AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/services-that-can-integrate-CTower.html) 。
## API 用量範例
如需這些 APIs的詳細資訊和範例,請參閱*AWS Organizations 《 API 參考*[https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html)》中的 [https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html)和 。
## 考量事項
+ **註冊時間表:**移至向 AWS Control Tower 註冊的 OU 的帳戶會使用*最終一致性*模型註冊。此程序通常需要幾分鐘的時間,最多幾個小時,取決於要移動的帳戶數目。
+ **取消註冊程序:**您可以使用相同的程序,將帳戶移至 AWS Control Tower 外部的 OU,從 AWS Control Tower 取消註冊帳戶。此程序會移除 AWS Control Tower 部署的任何角色和資源,以及 AWS Control Tower 中啟用的任何控制項。
# 從 AWS Control Tower 主控台註冊現有帳戶
有兩種常見方式可將個人註冊 AWS 帳戶 到 AWS Control Tower。
1. 在**設定**頁面中選取*自動註冊*功能後,您可以在 AWS Control Tower AWS 帳戶 外部建立 ,並將其直接移入已註冊的 OU。如需詳細資訊,請參閱[自動移動和註冊帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html)。此選項適用於登陸區域 3.1 版和更新版本。
1. 您可以從 AWS Control Tower 主控台手動註冊現有帳戶。
**下列各節說明第二個選項,**不需要 AWS Control Tower 環境的先前組態。 AWS 帳戶 必須符合必要的[先決條件](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html)。
**在 主控台中檢視您的合格帳戶:**
1. 導覽至 AWS Control Tower 中的**組織**頁面。
1. 尋找您要註冊的帳戶名稱。若要尋找,請從右上角的下拉式選單中選擇**帳戶**,然後在篩選的表格中找到帳戶名稱。
接著,請遵循註冊個別帳戶的步驟,如 [手動註冊帳戶的步驟](#enrollment-steps)一節所示。
## 從主控台註冊的考量事項
+ AWS Control Tower 主控台中提供的**註冊帳戶**功能旨在註冊現有的 , AWS 帳戶 以便它們由 AWS Control Tower 管理。如需詳細資訊,請參閱[註冊現有的 AWS 帳戶](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html)。
+ 當您的登陸區域未處於[偏離](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html)狀態時,可以使用主控台型**註冊帳戶**功能。如果登陸區域處於偏離狀態,您可能無法成功使用 **Enroll account (註冊帳戶)** 佈建。您需要透過 Account Factory 或其他方法佈建新帳戶,直到您的登陸區域偏離解決為止。
+ 當您從 AWS Control Tower 主控台註冊帳戶時,您必須使用已啟用`AWSServiceCatalogEndUserFullAccess`政策的使用者登入帳戶,以及使用 AWS Control Tower 主控台的**管理員**存取許可,而且您無法以根使用者身分登入。
+ 您註冊的帳戶可能會透過 AWS Control Tower 帳戶工廠更新,就像您更新任何其他帳戶一樣。稱為[使用 AWS Control Tower 更新和移動帳戶](updating-account-factory-accounts.md)的小節會提供更新程序。
**注意**
當您註冊現有的 時 AWS 帳戶,請務必驗證現有的電子郵件地址。否則,可能會建立新帳戶。
## 手動註冊帳戶的步驟
在現有 AWS 帳戶 帳戶中具備 **AdministratorAccess** 存取許可 (政策) 之後,請依照下列步驟註冊帳戶:
**從主控台在 AWS Control Tower 中註冊個別帳戶**
+ 導覽至 AWS Control Tower **Organization** 頁面。
+ 在**組織**頁面上,有資格註冊的帳戶可讓您從區段頂端**的動作**下拉式功能表中選取**註冊**。當您在帳戶詳細資訊頁面上檢視帳戶時,這些帳戶也會顯示**註冊**帳戶按鈕。 ****
+ 選擇**註冊帳戶**時,您會看到**註冊帳戶**頁面,提示您將`AWSControlTowerExecution`角色新增至帳戶。如需一些說明,請參閱 [手動將必要的 IAM 角色新增至現有 AWS 帳戶 並註冊](enroll-manually.md)。
+ 接著,從下拉式清單中選取已註冊的 OU。如果帳戶已在已註冊的 OU 中,此清單會顯示 OU。
+ 選擇 **Enroll acount (註冊帳戶)**。
+ 您會看到新增`AWSControlTowerExecution`角色並確認動作的模態提醒。
+ 選擇**註冊**。
+ AWS Control Tower 會開始註冊程序,系統會將您導向至**帳戶詳細資訊**頁面。
## 註冊失敗的常見原因
+ 若要註冊現有帳戶,`AWSControlTowerExecution`角色必須存在於您要註冊的帳戶中。
+ 您的 IAM 委託人可能缺乏佈建帳戶的必要許可。
+ AWS Security Token Service (AWS STS) 在您的 AWS 帳戶 主區域或 AWS Control Tower 支援的任何區域中已停用。
+ 您可能會登入需要新增至帳戶工廠產品組合的帳戶 AWS Service Catalog。您必須先新增帳戶,才能存取 Account Factory,才能在 AWS Control Tower 中建立或註冊帳戶。如果適當的使用者或角色未新增至 Account Factory 產品組合,當您嘗試新增帳戶時,會收到錯誤。如需如何授予 AWS Service Catalog 產品組合存取權的指示,請參閱[授予使用者存取權](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)。
+ 您可以 root 身分登入。
+ 您嘗試註冊的帳戶可能會有剩餘的 AWS Config 設定。特別是,帳戶可能具有組態記錄器或交付管道。您必須先透過 刪除或修改這些項目, AWS CLI 才能註冊 帳戶。如需詳細資訊,請參閱[註冊具有現有 AWS Config 資源的帳戶](existing-config-resources.md)及[透過 與 互動 AWS Control Tower AWS CloudShell](cshell-examples.md)。
+ 如果帳戶屬於另一個具有管理帳戶的 OU,包括另一個 AWS Control Tower OU,您必須先終止其目前 OU 中的帳戶,才能加入另一個 OU。必須移除原始 OU 中的現有資源。否則,註冊將會失敗。
+ 如果您的目的地 OU 的 SCPs 不允許您建立該帳戶所需的所有資源,則帳戶佈建和註冊會失敗。例如,目的地 OU 中的 SCP 可能會在沒有特定標籤的情況下封鎖資源建立。在此情況下,帳戶佈建或註冊會失敗,因為 AWS Control Tower 不支援資源標記。如需協助,請聯絡您的客戶代表,或 支援。
如需在建立新帳戶或註冊現有帳戶時,AWS Control Tower 如何使用角色的詳細資訊,請參閱[角色和帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html)。
**提示**
如果您無法確認現有的 AWS 帳戶 符合註冊先決條件,您可以設定**註冊 OU** 並將帳戶註冊到該 OU。註冊成功後,您可以將帳戶移至所需的 OU。如果註冊發生失敗,則不會有其他帳戶或 OUs 受到失敗的影響。
如果您不確定現有帳戶及其組態是否與 AWS Control Tower 相容,您可以遵循下一節建議的最佳實務。
**建議:您可以為帳戶註冊設定雙步驟方法**
+ 首先,使用 AWS Config *一致性套件*來評估您的帳戶可能如何受到某些 AWS Control Tower 控制項的影響。若要判斷註冊 AWS Control Tower 如何影響您的帳戶,請參閱[使用一致性套件擴展 AWS Control Tower AWS Config 控管](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/)。
+ 接下來,您可能希望註冊該帳戶。如果合規結果令人滿意,遷移路徑會更容易,因為您可以在預期的情況下註冊帳戶。
+ 完成評估後,如果您決定設定 AWS Control Tower 登陸區域,您可能需要移除為評估建立的 AWS Config 交付管道和組態記錄器。然後,您就可以成功設定 AWS Control Tower。
**注意**
一致性套件也適用於帳戶位於 AWS Control Tower 註冊OUs 中的情況,但工作負載會在沒有 AWS Control Tower 支援的 AWS 區域中執行。您可以使用一致性套件來管理 AWS Control Tower 未部署區域中現有的帳戶中的資源。
# 如果帳戶不符合先決條件
請記住,作為先決條件,符合 AWS Control Tower 控管資格的帳戶必須屬於相同的整體組織。若要滿足帳戶註冊的此先決條件,您可以遵循這些準備步驟,將帳戶移至與 AWS Control Tower 相同的組織。
**將帳戶帶入與 AWS Control Tower 相同的組織的準備步驟**
1. 從現有組織捨棄帳戶。如果您使用此方法,則必須提供單獨的付款方式。
1. 邀請帳戶加入 AWS Control Tower 組織。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[邀請 AWS 帳戶加入您的組織](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_invites.html)。
1. 接受邀請。帳戶會顯示在組織的根目錄中。此步驟會將帳戶移至與 AWS Control Tower 相同的組織。 會建立 SCPs和合併帳單。
**提示**
您可以在帳戶退出舊組織之前傳送新組織的邀請。當帳戶正式退出其現有組織時,邀請將等待。
**滿足其餘先決條件的步驟:**
1. 建立必要的`AWSControlTowerExecution`角色。
1. 清除預設 VPC。(此部分為選用。 AWS Control Tower 不會變更您現有的預設 VPC。)
1. 透過 或 刪除或修改任何現有的 AWS Config 組態記錄器或交付管道 AWS CLI AWS CloudShell。如需詳細資訊,請參閱 [使用 AWS Config 資源註冊帳戶](enroll-account.md#example-config-cli-commands) 和 [註冊具有現有 AWS Config 資源的帳戶](existing-config-resources.md)
完成這些準備步驟後,您可以將帳戶註冊到 AWS Control Tower。如需詳細資訊,請參閱[手動註冊帳戶的步驟](quick-account-provisioning.md#enrollment-steps)。此步驟會將帳戶納入完整的 AWS Control Tower 控管。
**取消佈建帳戶的選用步驟,以便註冊並保留其堆疊**
1. 若要保留套用的 CloudFormation 堆疊,請從堆疊集中刪除堆疊執行個體,然後選擇**保留執行個體的堆疊**。
1. 終止帳戶工廠中的 AWS Service Catalog 帳戶佈建產品。(此步驟只會從 AWS Control Tower 移除佈建的產品。 它不會刪除帳戶。)
1. 視需要為不屬於組織的任何帳戶設定具有必要帳單詳細資訊的帳戶。然後從組織中移除帳戶。(您這樣做,因此帳戶不會計入 AWS Organizations 配額中的總計。)
1. 如果資源仍然存在,請清除帳戶,然後遵循中的帳戶關閉步驟將其關閉[取消註冊 帳戶](unmanage-account.md)。
1. 如果您有已定義控制項的**暫停** OU,您可以在該處移動帳戶,而不是執行步驟 1。
# 手動將必要的 IAM 角色新增至現有 AWS 帳戶 並註冊
如果您已設定 AWS Control Tower 登陸區域,您可以開始將組織的帳戶註冊到向 AWS Control Tower 註冊的 OU。如果您尚未設定登陸區域,請遵循《 入門》中的 *AWS Control Tower 使用者指南*,步驟 2 中所述的步驟。 [https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two)登陸區域準備就緒後,請完成下列步驟,以手動方式將現有帳戶納入 AWS Control Tower 的控管。
**請務必檢閱本章先前[註冊的先決條件](enrollment-prerequisites.md)記下的 。**
向 AWS Control Tower 註冊帳戶之前,您必須授予 AWS Control Tower 管理該帳戶的許可。若要這樣做,您將新增具有帳戶完整存取權的角色,如以下步驟所示。您必須為您註冊的每個帳戶執行這些步驟。
**對於每個帳戶:**
**步驟 1:使用管理員存取權登入目前包含您要註冊之帳戶的組織的管理帳戶。**
例如,如果您從 建立此帳戶, AWS Organizations 並使用跨帳戶 IAM 角色登入,則可以遵循下列步驟:
1. 登入組織的管理帳戶。
1. 前往 **AWS Organizations**。
1. 在**帳戶**下,選取您要註冊的帳戶,並複製其帳戶 ID。
1. 開啟頂端導覽列上的帳戶下拉式選單,然後選擇**切換角色**。
1. 在**切換角色**表單上,填寫下列欄位:
+ 在**帳戶**下,輸入您複製的帳戶 ID。
+ 在**角色**下,輸入允許跨帳戶存取此帳戶的 IAM 角色名稱。此角色的名稱是在建立帳戶時定義的。如果您在建立帳戶時未指定角色名稱,請輸入預設角色名稱 `OrganizationAccountAccessRole`。
1. 選擇 **Switch Role** (切換角色)。
1. 您現在應該以子帳戶 AWS 管理主控台 身分登入 。
1. 完成後,請保留在子帳戶中以進行程序的下一個部分。
1. 請記下管理帳戶 ID,因為您需要在下一個步驟中輸入它。
**步驟 2:授予 AWS Control Tower 管理帳戶的許可。**
1. 前往 **IAM**。
1. 前往 **角色**。
1. 選擇建**立角色**。
1. 當系統要求選取角色適用的服務時,請選擇**自訂信任政策**。
1. 複製此處顯示的程式碼範例,並貼到政策文件中。將字串取代*`Management Account ID`*為您管理帳戶的實際管理帳戶 ID。以下是要貼上的政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. 當系統要求連接政策時,請選擇 **AdministratorAccess**。
1. 選擇 **Next: Add Tags (下一步:新增標籤)**。
1. 您可能會看到名為**新增標籤**的選用畫面。選擇**下一步:檢閱**,立即略過此畫面
1. 在**檢閱**畫面上**的角色名稱**欄位中,輸入 `AWSControlTowerExecution`。
1. 在描述方塊中輸入簡短**描述**,例如*允許註冊的完整帳戶存取權。*
1. 選擇建**立角色**。
**步驟 3:將帳戶移至已註冊的 OU 來註冊帳戶,並驗證註冊。**
建立角色以設定必要的許可之後,請依照下列步驟註冊帳戶並驗證註冊。
1. **以管理員身分再次登入,然後前往 AWS Control Tower。**
1.
**註冊 帳戶。**
+ 在 AWS Control Tower 的組織****頁面中,選取您的帳戶,然後從右上角**的動作**下拉式選單中選擇**註冊**。
+ 請遵循註冊個別帳戶的步驟,如 [手動註冊帳戶的步驟](quick-account-provisioning.md#enrollment-steps) 頁面所示。
1.
**驗證註冊。**
+ 從 AWS Control Tower,選擇左側導覽中的**組織**。
+ 尋找您最近註冊的帳戶。其初始狀態會顯示**註冊**狀態。
+ 當狀態變更為**已註冊**時,移動成功。
若要繼續此程序,請登入組織中您要在 AWS Control Tower 註冊的每個帳戶。為每個帳戶重複先決條件步驟和註冊步驟。
**新增`AWSControlTowerExecution`角色的範例**
下列 YAML 範本可協助您在帳戶中建立所需的角色,以便以程式設計方式註冊。
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```